GitHub a reçu plusieurs dizaines de requêtes DMCA émanant de Google, pour faire retirer de la plateforme du code visant le niveau L3 de sa gestion de droits numérique Widevine, connu notamment pour protéger Disney+, Netflix et Amazon Prime de la copie vidéo.
Le code en question, souvent référencé sous l’appellation « Widevine L3 Decryptor », est à la base un proof-of-concept (poc) du chercheur en sécurité Tomer Hadad, qui cherchait à montrer à quel point il était simple de contourner la protection. La faille sur laquelle repose l’ensemble a déjà été signalée à Google par Krebs Security.
Le poc se présentait sous forme d’extension Chrome ne fonctionnant que sous Windows. Elle s’infiltrait dans la liaison entre Widevine et les Encrypted Media Extensions (EME), parvenant à récupérer les clés de chiffrement au passage, grâce à quoi il devenait possible d’obtenir un flux vidéo en clair.
Google considère évidemment que l’outil est un contournement d’une mesure numérique de protection qui, en ce sens, viole la section 1201 du DMCA. La même que pour le cas Youtube-dl.
Les dépôts GitHub ont donc été nettoyés, suivant la publication de Hadad qui citait déjà le 31 octobre des « raisons juridiques ». Au vu des clients de Google pour Widevine, on a une idée de l’urgence de ces requêtes… et de la pression exercée.
Mais Google n’est pas sortie d’affaire. Comme le signale TorrentFreak, l’entreprise doit maintenant courir après sa propre clé AACS privée, extraite de Widevine et que l’on peut retrouver sur… Google, avec une recherche suffisamment précise.
Commentaires (35)
#1
Ce qui est bien avec GitHub, c’est que les anciens commits sont encore disponibles (commit récupéré via la liste des pull requests).
#1.1
Ah c’est une bonne information ça !
Ca doit même être possible de récupérer un graph des commits depuis leur API alors… 🧐
#1.2
merci, j’ai forké :3
https://git.dess.ga/Albirew/widevine-l3-decryptor
#2
Et accessoirement un autre lien tourne à d’autres endroits type reddit, j’ai ainsi pu récupérer le code qui correspond bien au commits cités.
Autant dire que c’est foutu pour google, ça doit déjà tourner sur tor et ça va pas tarder à arriver en torrents.
#3
Il leur suffit de changer la clé privée ?
#4
C’est exactement ce que je me suis dis. Mais bon, j’y connais pas grand chose.
#4.1
A voir dans le détail, mais si cette clé est utilisée conjointement à d’autre clés (par ex. celle du distributeur, celle générée pour l’utilisateur final …), ça veut dire probablement changer toutes ces clés.
Sans parler du fait qu’étant donné que la clé est implémentée durectement dans l’implementation du DRM, il faut mettre à jour et remplacer toutes celles-ci, y compris sur les devices des utilisateurs : navigateur, OS de téléphone, application de streaming … tout ceci devra être mis à jour pour fonctionner avec la nouvelle clé.
Et comme le dit fred42 plus haut, il faut aussi mieux planquer la clé dans l’implem avant de la mettre à jour, ce qui n’est pas trivial à faire (et même, dans l’absolu, impossible à long terme).
#5
À partir du moment où on a su la trouver une fois, on saura trouver la nouvelle.
Les systèmes de DRM qui s’appuient sur du code client qui utilise une clé privée embarquée localement sont exposés à cela et ont un problème de conception à la base.
#6
C’est peut être l’élément le plus croustillant en somme : le plus gros DRM de notre époque repose encore une fois de plus sur une clé privée embarquée et donc largement distribuée dans l’implémentation même du déchiffreur.
Dit autrement Widevine est un énième DRM camelotte basé sur une clé-pas-si-privée comme tous ses prédecesseurs.
Il n’y a que l’industrie audiovisuelle qui arrive encore à se faire vendre des DRMs inviolables tout en permettant le déchiffrement hors connexion.
#7
Ahahah. Les tv connectés et autres merdes difficilement mis à jour ne seront plus compatibles netflix, je rigole davance
#7.1
Ha oui j’avais oublié nos chères TVs. Pa grave faudra en racheter :/
#8
Comme quoi c’est bien la preuve que des entreprises performantes (capable de capter du contrat plus vite que son ombre) comme Google ne devraient pas être confondues avec des entreprises fiables (qui font les choses posément).
Mettre à jour les plateformes, les applicatifs client et les dispositifs de type télé n’est probablement pas à l’ordre du jour.
On peu se poser la question sur les méthodes de développement de tout ce petit monde. Une application comprenant des composantes “sécurité” doit être testée. Car en sécurité : “on ne sait jamais ce qui peut arriver”. Une mouture corrige une vulnérabilité. Un quidam en trouve une autre dans les deux jours. Bref on se doit de penser à des scénarii (même improbables) pour au moins entrevoir ce qu’il faudrait faire en cas de pépin.
On me dira que c’est facile de parler après. Oui bon bin c’est pas la première faille de sécurité qui devrait avoir permis à ces entreprises de réagir pour changer leurs processus de production. Une étude sur la question des conséquences quand une clé de chiffrement se ballade dans la nature n’est pas hors de porté du budget de Google.
Google avait déjà une propension à foutre une merde sans nom sur le plan économique. Maintenant que leur réputation vol en éclat ils vont tout simplement jouer de leur position dominante. Mais c’est pas grave comme disent les lolcats : “iz just gud buzeeness”.
#8.1
Dans le cas présent, le problème fondamental est l’utilisation d’un DRM dont une implémentation exclusivement logicielle existe, ce qui est le cas ici. C’est un combat vain car un jour où l’autre, la clé privée embarquée finit par sortir et ce jour arrive généralement très vite, en tout cas plus vite que pour un DRM hardware.
La situation actuelle est la même à chaque fois : soit la clé ne change pas et le DRM n’a plus aucune utilité, soit la clé change et ceux qui ont du matos spécifique (tv, lecteurs etc.) vont se faire emmerder s’ils n’ont plus de mise à jour. Par ailleurs, comme dit plus haut, il faudra aussi changer l’implémentation pour boucher la faille, ce qui n’est pas toujours possible sur les implémentations hardware.
Avec maintenant 20 ans de recul sur les protections numériques de ce type, on peut dire qu’elles n’ont jamais empeché le piratage quasiment day 1 des médias concernés. En réalité elles existent pour faire épouvantail auprès de l’essentiel des gens qui ne cherchera pas plus loin, et en un sens elles remplissent bien leur rôle.
#9
DRM Widewine L1 : lui il n’est pas touché ? Car là c’est CanalPlus qui aura chaud à ses fesses…
#10
Notons que Youtube-DL est de retour sur GitHub, depuis aujourd’hui !
#11
yep, https://github.blog/2020-11-16-standing-up-for-developers-youtube-dl-is-back/ un seul truc : lol
#11.1
J’ai lu les tweets de Nat Firedman, et il peut bien dire ce qu’il veut à propos de la défense des programmeurs et la section 1201 du DMCA qui doit être révisé, le ton sentait quand même davantage la tentative de damage control pour stopper la vague de bad buzz (à raison !) contre GitHub et la fuite de devs vers des cieux plus sûrs pour eux (des instances GitLab auto-hébergées, notamment, puisque gitlab.com souffre des mêmes défauts et mêmes risques que GitHub).
N’oublions pas que, depuis le rachat de GitHub par Microsoft, il y a déjà eu des suppressions totalement arbitraires de dépôts, alors que rien dans ces dépôts n’était a priori illégal…
Donc, oui : LOL !
#11.2
Signalé à l’instant à GITHUB !
#11.3
plaît-il ?
je suppose qu’il y a une blague, mais là je suis pas sûr de comprendre :s
#11.4
Je pense qu’il n’a pas saisi que ça n’était pas hébergé sur github…
Sauf qu’il suffit qu’une seule personne arrive à casser/contourner le DRM pour que quasi n’importe qui en profite en parfaite qualité…
C’est donc stupide.
#12
J’ai du mal à comprendre l’intérêt des ces protections. A partir du moment où le son (/ l’image) est joué sur l’enceinte (/ l’écran), il est forcément enregistrable, non ?
#13
Le but est d’empêcher le piratage “facile” et de “haute qualité” du contenu car tu pourras toujours faire des screeners, enfin, jusqu’au jour où les films seront diffusés via des DRM implantés dans le cerveau directement
#13.1
Mais avec des captures style OBS c’est plutôt correct en qualité non ? Il y a eu des progrès dans la capture de contenu tout de même !
En tout cas ça reflète assez bien ce qui est visible in fine par l’utilisateur….
#13.2
Quand je vois la facilité de séries Netflix/AmazonPrime/Disney+ se retrouve en HD full patate sur le web le jour même en torrent, je pense que c’est suffisamment simple de contourner.
Si c’est pas fait logiciellement, c’est matériellement (d’ailleurs j’ai pas essayé, mais je pense que j’ai la matos pour, j’ai un vieux système de capture HDMI que j’avais pour la PS3
)
#14
Les DRM emmerde plus ceux qui consomme leur contenu légalement. Les webRIP Netflix, amazon prime etc sont trouvables depuis un moment si je ne m’abuse ….
Exemple chez Canal+ que je viens de résilier : Sur PC , c’est limité au 720p@30ips parceque le DRM utilisé ne protège pas suffisamment ( traduction : ne rassure pas suffisamment les dinosaures ). Résultat : Y’a trop de piratage, bridons l’offre légale et emmerdons ceux qui payent.
Bref, quand ils auront compris que l’offre légale doit être une vrai concurrence contre le contenu piraté, on aura fait un grand pas et ils arrêteront de dépenser des fortunes en DRM et autres conneries du meme acabit.
#15
De mémoire la capture type OBS ne fonctionne pas avec un contenu sous DRM google L3 justement, t’as du tout noir à la place.
Je ne me suis jamais penché la dessus , mais je suppose naïvement que le plus simple est de récupérer le signal vidéo “physiquement” envoyé vers l’écran, mais à la place avec un équipement de capture.
#15.1
Ah bon ? Rah bah merde alors, au temps pour moi ! Effectivement ça paraissait trop beau pour être vrai… J’essaierai tiens de voir ça !
#16
En vrai j’ai jamais tester avec OBS. Par contre avec la fonction Stream de Discord et Canal+ :
Avec un pote, on voulait regarder le GP de Formule 1 ensemble ( mais confinement toussa toussa ) mais il a pas Canal. Je me suis dis osef je vais lui stream le GP.
Je me suis rendu compte qu’avec Edge, Chrome ou l’appli Canal -> Tout noir. Avec Firefox -> ça passe.
Je crois me souvenir que Firefox n’utilise pas les mêmes DRM, c’est d’ailleurs à cause de ça qu’il n’a droit qu’a du 720p sur Netflix il me semble.
Corrigez moi si je me trompe pour ceux qui maitrise bien le sujet, n’étant pas un ripeur, je ne me suis jamais acharné pour capturer du contenu sous DRM.
#16.1
Ca a l’air de coller avec ce que je viens de lire en effet !
Merci, je m’endormirai moins con !
#17
Avec les DRM en question, OBS n’est pas utilisable justement.
#17.1
Ouaip, je me suis aperçu de
ma conneriemon ignorance du sujet avec les commentaires suivants…#18
+1, même s’il y a aussi la composante de pognon niveau client.
Perso je ne regarde pas la TV, elle est ni branchée à la TNT, ni raccordé à une boxtv opérateur. Du coup j’ai pris Netflix, Amazon Prime, Wakanim et d’autres… Ca fini par faire une petite somme pour regarder légalement (et quand on veut !) sans être dérangé par la pub. Mais je constate moi même que je ne DL plus rien.
Et pourtant le catalogiue est loin d’être complet ! (et je ne suis pas cinéphile, ou grand amateur de séries au point de chercher des perles rares).
#19
Effectivement, par contre me concernant, vu la qualité merdique de l’app Disney+ (sur Android TV et PS4), je me demande si je ne vais pas repasser par une méthode un peu moins “légale” pour regarder les épisodes de The Mandalorian… L’offre ne fait pas tout, mais le moyen d’y avoir accès est aussi très important !
#20
C’est ce que le HDCP est censé éviter , via des clés sur des puces intégrés qui ont été trouvés pour créer ceci : https://www.hdfury.com/ .
Après, perso je pense que Google avait pas le choix:
Il était obligé de faire la requête DCMA à github sous la pression des ayants droits (les mêmes qui font supprimer youtube-dl) :
Le but de google c’est de vendre des services & de la pub, le reste (matos, libre,…) n’existe que dans l’objectif de “capturer” l’écosystème pour diriger les clients vers ses services au détriment de ceux des autres. Or, le monde des média & des ayants-droits rétrogrades est une grosse source de contenu, et d’actions légales & commerciales. Ne pas réagir c’était prendre le risque de se voir emmerder juridiquement, voire retirer des applis ou autre rétorsion.
Contrairement aux ayants-droits, Google est pas con: Ils savent que tout DRM logiciel (et même matériel) est temporaire au mieux, et que maintenant que l’histoire est sortie, les codes & les clés sont dispo, point barre, pour ceux qui les veulent et savent s’en servir.
Quant aux AD, à mon avis ces aspects technique leur passe complètement au-dessus, ils ont des “posture” par rapport à leurs propres investisseurs et se foutent COMPLÈTEMENT des emmerdement du reste du monde. (On parle pas des auteurs, là, on parle de juristes , de lobbystes et de banquiers)
#21
je me contentais du fait que le code était de retour
tout le pamphlet sur la “défense des développeurs” bah ça j’ai pas vraiment fait gaffe, tant mieux si c’est “vrai”, dommage si c’est juste “de la com’”